Massiver NPM-Paket-Lieferkettenangriff: Millionen Downloads kompromittiert
Ein schwerer Angriff auf die Lieferkette zielte auf das npm-Ökosystem ab und gefährdete mehrere Pakete mit über 2,6 Milliarden wöchentlichen Downloads. Angreifer nutzten Phishing-E-Mails, um Zugriff auf das Konto eines Maintainers zu erhalten und anschließend Malware in mehrere weit verbreitete Pakete einzuschleusen. Diese Malware fängt Kryptowährungstransaktionen im Browser ab und leitet Gelder an vom Angreifer kontrollierte Wallets um. Obwohl das npm-Team einige bösartige Versionen entfernt hat, unterstreicht der Vorfall die Schwachstellen von Software-Lieferketten und die wachsende Bedrohung durch Phishing und browserbasierte Angriffe. Die Auswirkungen wurden etwas gemildert, da nur Benutzer mit neuen Installationen in einem kurzen Zeitfenster betroffen waren.